Datenverarbeitungsregister (DVR) – Wozu diente das DVR?
- Redaktion Anwaltfinden.at
Das Datenverarbeitungsregister (DVR) ist in Österreich ein zentrales Register, in das alle meldepflichtigen Datenanwendungen bis Mitte 2018 eingetragen wurden. Dabei wird das Datenverarbeitungsregister von der österreichischen Datenschutzbehörde geführt.
Jedoch wurde Ende Mai 2018 mit der Einführung der DSGVO ein neues Datenregistrierungsverfahren eingeführt. In diesem Beitrag wollen wir den Mechanismus des Datenverarbeitungsregisters Österreich darstellen und die Änderungen durch die DSGVO beschreiben.
Dabei wollen wir auch häufige Fragen beantworten, wie z. B. Was ist die DVR Nummer? Was bedeutet die Meldung Datenverarbeitungsregister? Wie funktioniert das Datenverarbeitungsregister DSGVO?
Inhaltsverzeichnis
- Das Datenverarbeitungsregister Österreich wurde bis Mitte 2018 geführt für meldepflichtige Datenanwendungen
- Dabei mussten sich Unternehmen, die computergestützte Daten verarbeiten, sich dort registrieren lassen und bekamen eine DVR-Nummer zugeteilt
- Mit der Einführung der DSGVO wurde das Datenverarbeitungsregister Österreich abgelöst.
- Seitdem sind Verzeichnisse über die Verarbeitung von Daten von den Verantwortlichen und deren Auftragsverarbeiter selbst zu führen
Wie funktionierte das Datenverarbeitungsregister Österreich?
Das Datenverarbeitungsregister, welches bei der Datenschutzbehörde (DSB) eingerichtet ist, diente der Dokumentation der österreichischen Datenverarbeiter.
Dabei mussten alle Stellen, die zumindest teilweise computergestützt Daten verarbeiten, sich bei diesem registrieren lassen und erhielten anschließend eine DVR-Nummer zugeteilt. Hierbei mussten die Datenverarbeiter bei der Meldung angeben, welche Datenarten sie verwenden, wer von der Datenverwendung betroffen sein kann, zu welchem Zweck sie diese Daten verwenden und an wen diese übermittelt werden.
Zusätzlich mussten auch Angaben über ergriffene Sicherheitsmaßnahmen gemacht werden. Hierbei erfolgte die Meldung mittels, standardisierten Formularen.
Vereinfachung für Standardanwendungen im Datenverarbeitungsregister
Jedoch existierten auch sogenannte Standardanwendungen, die den Verwaltungsaufwand zum Datenverarbeitungsregister verringerten.
Dabei wurden vom Datenverarbeitungsregister klar definierte Datenanwendungen für häufige Anwendungsfälle (wie z. B. im Rechnungswesen oder der Personalverwaltung) ausgeschlossen, für deren Betrieb keine Meldung notwendig war.
Deshalb mussten Unternehmen, die ausschließlich diese weit verbreiteten Standard-Datenanwendungen betreiben, diese nicht melden und bekamen daher auch keine DVR-Nummer zugewiesen.
Wie konnten sich Betroffene über Datenanwendungen im Datenverarbeitungsregister informieren
Für Betroffene gab das Datenverarbeitungsregister mittels des DVR-Registerauszugs Auskunft darüber, ob und welche Datenanwendungen eine Organisation registriert hat. Dabei konnte man auch genauere Informationen über eine Datenanwendung erhalten, wenn man sich anschließend den DVR-Einlagebogen einer Datenanwendung besorgte.
Hierbei enthielt dieser Informationen über die verarbeiteten Datenarten, die Betroffenen, den Zweck der Datenanwendung sowie eventuelle Übermittlungsempfänger.
Jedoch wurden im Datenverarbeitungsregister nicht die Daten von verschiedenen Organisationen (bzw. Behörden) selbst verwaltet. Hierdurch wäre das Datenverarbeitungsregister Österreich eine Informationszentrale gewesen, die alles über alle BürgerInnen wüsste.
Allerdings war dies nicht der Fall, denn das Datenverarbeitungsregister diente reinen Informationszwecken und verwaltete nur die Beschreibung (Dokumentation) der Datenanwendungen.
Hierbei mussten die verschiedenen Betroffenenrechte (Auskunft, Widerspruch oder auch Löschung von Daten) musste man direkt beim Datenverarbeiter (Auftraggeber) in Anspruch genommen werden.
Einführung der DSGVO und neue Regeln zur Registrierung von Datenverarbeitungen
Im Jahr 2018 wurde das System des Datenverarbeitungsregisters Österreich durch das Inkrafttreten der DSGVO ersetzt. Deshalb ist aufgrund der DSGVO keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an.
Hierbei gelten die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz-Deregulierungs-Gesetzes 2018 seit 25.5.2018. Deshalb müssen seitdem alle Datenverarbeitungen dieser Rechtslage entsprechen. Hierbei sind seitdem Verzeichnisse über die Verarbeitung von den Verantwortlichen und deren Auftragsverarbeiter zu führen.
Dabei ist der Umfang der Dokumentationspflicht ist für einen Auftragsverarbeiter geringer als für den Verantwortlichen. Jedoch können Datenanwendungen, die im Datenverarbeitungsregister registriert waren, als Anhaltspunkt für die Dokumentation dienen.
Welche Daten muss ein Verzeichnis nach der DSGVO nun enthalten?
Nach der DSGVO muss ein Verantwortlicher ein Verzeichnis sämtlicher Verarbeitungstätigkeiten, die in seiner Zuständigkeit liegen, zu führen.
Dabei hat dieses Verzeichnis Folgendes zu enthalten:
Die Namen und Kontaktdaten
Das Verzeichnis muss vollständige Namen und Kontaktdaten des bzw. der Verantwortlichen, seines Vertreters sowie auch eines eventuellen Datenschutzbeauftragten enthalten.
Der Zweck der Datenverarbeitung
Hierbei muss das Verzeichnis den Grund der Datenverarbeitung ausweisen. Dabei empfiehlt sich auch eine Angabe der Rechtsgrundlage, z. B. eine Einwilligungserklärung zum Datenverarbeitungszweck.
Die Kategoriebeschreibung erhobener Daten
Hierbei ist eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten anzuführen. Dabei kann es sich z. B. um Kunden oder Lieferanten handeln, oder aber auch um Rechnungsdaten oder Adressdaten.
Die Kategoriebeschreibung von Datenempfängern
Dabei sind auch Kategorien von Empfängern anzufertigen, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden. Hierbei kann es sich z. B. um die Sozialversicherung, das Finanzamt, Rechtsanwälte oder auch Steuerberater handeln. Ferner kann es sich dabei auch um Empfänger in Drittländern handeln oder um internationale Organisationen.
Angaben zur Löschung der Daten
Hierbei sind Angaben für die vorgesehenen Fristen zur Löschung der verschiedenen Datenkategorien zu machen, wenn dies möglich ist.
Angaben zur Datensicherung
Dabei soll eine allgemeine Beschreibung der technischen und organisatorischen Datensicherungsmaßnahmen angeführt werden, sofern dies möglich ist.
Wie kann ein Anwalt für Datenschutzrecht bei der richtigen Dokumentation von Daten helfen?
Heute entsprechen die verwendeten Datenschutzerklärungen oft noch nicht den neuen Regelungen der DSGVO. Deshalb ist es dringend geboten, diese entsprechend anzupassen, um eine DSGVO Strafe zu vermeiden.
Hierbei sollte man sich beraten lassen von einem spezialisierten Juristen für Datenschutzrecht, der für Sie eine Datenschutzerklärung nach DSGVO erstellen lassen kann. Dabei kann er auch eine bestehende Datenschutzerklärung prüfen und eine entsprechende Datenschutzerklärung nach DSGVO erstellen.
Hierbei wird ein erfahrener Rechtsanwalt für Datenschutzrecht auch über unternehmerische Anpassungsnotwendigkeiten aufklären. Ferner hilft er Ihnen auch, wenn Sie einen Dienstvertrag mit einem Auftragsverarbeiter nach DSGVO erstellen lassen wollen.
